ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
08.03.2009, 08:51
|
|
Постоянный
Регистрация: 25.05.2007
Сообщений: 448
Провел на форуме:
4226446
Репутация:
1564
|
|
Сообщение от De-visible
протеус походу сначало не видел твою темку, так бы наверняка поковырял...
taha в армии, Грейт редко бывает, neprovad хз, ну а остальные наврядли бы стали браться 
У тех, кого ты перечислил объективно времени нет на реверсми. У всех работа. Это, кстати не полный список, правда остальные тоже здесь нечасто бывают.
2winterfrost если бы было обсуждение нормальное, я бы не стала писать солюшн. В следующий раз активней будут ) Привыкли, что задачи нерешенными месяцами лежат. Ждала 5 суток, что кто-то отпишет про прерывание хотя бы. Тогда и разговора бы не было.
2Unregistered да можно, icq
2ex3me да, работы здесь много. я пока в реале свои проблемы решала, почти ничего тут не писала. Сейчас хоть более менее в ритм вошла, смогу разделом по-нормальному заниматься.
Хотелось бы отметить еще некоторые особенности. Как вы помните в этом фрагменте заюзана трассировка ветвлений
Код:
00401388 $ CD 20 INT 20
0040138A . 9C PUSHFD
0040138B . 5F POP EDI
0040138C . 0FBAEF 08 BTS EDI,8
00401390 . 57 PUSH EDI
00401391 . 9D POPFD
00401392 . 90 NOP
00401393 . 90 NOP
00401394 . 90 NOP
00401395 . 90 NOP
00401396 . 90 NOP
00401397 . 90 NOP
00401398 . 90 NOP
00401399 . 33C0 XOR EAX,EAX
0040139B >-EB FE JMP SHORT reversem.0040139B
устанавливается флаг tf, при установленном btf в msr регистре. При этом уже установлен SEH-обработчик, который должен сработать когда управление дойдет до jmp. Ну так вот.
Если мы попытаемся пройтись по прерыванию по f7, то ольга понятное дело установит tf и установит раньше меня (раньше пары инструкций pushfd/popfd). При этом ее трассировка будет учитывать btf. Оля перебросит нас на jmp после прерывания, и после этого если мы нажмем shift+f9 SEH управления не получит, а программа зациклиться на джампе.
Если вообще эту процедуру не трогать, то при отсутствии игнора эксепшнов мы остановимся как раз на джампе [single-step event]
По крайней мере это так в имунити и обычной ольге.
Поэтому, как я говрила, лучше ковырять в иде.
Последний раз редактировалось 0x0c0de; 08.03.2009 в 09:13..
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
